ISGroup Cybersicherheitsberatung

CVE-2024-55591 – Authentifizierungs-Bypass in Fortinet FortiOS und FortiProxy

Eine kritische Schwachstelle zur Umgehung der Authentifizierung (CVSS 9.6), die Fortinet FortiOS- und FortiProxy-Produkte betrifft, wird derzeit aktiv ausgenutzt. Die Schwachstelle liegt im WebSocket-Modul von Node.js und ermöglicht es entfernten Angreifern, Authentifizierungsmechanismen zu umgehen. Über 7,6 Millionen Instanzen von Fortinet-Firewalls sind über das Internet erreichbar, was diese Bedrohung besonders weit verbreitet macht.

ProduktFortinet FortiProxy
Datum17.01.2025 13:27:30
Informationen
  • Fix verfügbar
  • Aktive Ausnutzung

Technische Zusammenfassung

Diese Schwachstelle ermöglicht es Angreifern, Authentifizierungsprüfungen zu umgehen und Super-Administrator-Rechte zu erlangen, indem sie speziell präparierte Webanfragen senden. Eine erfolgreiche Ausnutzung ermöglicht es Angreifern:

  • Super-Admin-Konten mit vollständigen Systemrechten zu erstellen
  • Systemkonfigurationen zu ändern, einschließlich Firewall-Richtlinien und Benutzergruppen
  • VPN-Tunnel aufzubauen, um auf interne Netzwerke zuzugreifen
  • Lokale Benutzerkonten mit zufälligen Namen zu erstellen (z. B. Gujhmk, Ed8x4k)
  • Firewall-Richtlinien und Netzwerkeinstellungen hinzuzufügen oder zu ändern

Betroffene Geräte und Versionen:

  • FortiOS von 7.0.0 bis 7.0.16
  • FortiProxy von 7.0.0 bis 7.0.19
  • FortiProxy von 7.2.0 bis 7.2.12

Die Ausnutzung umfasst:

  1. Das Senden einer präparierten Anfrage an den Login-Endpunkt
  2. Den Aufbau einer WebSocket-Verbindung mit spezifischen Headern
  3. Die Umgehung der Authentifizierungsprüfungen durch das WebSocket-Modul von Node.js

Empfehlungen

  1. Aktualisierung auf die korrekten Versionen:
  • FortiOS 7.0.17 oder höher
  • FortiProxy 7.2.13 oder höher
  1. Sicherheitsverbesserungen:
  • Aktivierung der Multi-Faktor-Authentifizierung (MFA) für alle Administratorkonten
  • Implementierung von “local-in”-Richtlinien zur Einschränkung des Zugriffs auf die Verwaltungsoberfläche
  • Beschränkung des administrativen Zugriffs auf vertrauenswürdige IP-Bereiche
  • Regelmäßige Überwachung auf verdächtige Kontoaktivitäten
  1. Erkennung:
  • Überwachung auf die Erstellung von Administratorkonten mit zufälligen Namen (z. B. Gujhmk, Ed8x4k)
  • Beobachtung von Anmeldeversuchen von bekannten bösartigen IP-Adressen
  • Überprüfung der Systemprotokolle auf nicht autorisierte Konfigurationsänderungen

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *